Progettazione e sviluppo di sottosistemi

Fase uno – Scelta dell’architettura (struttura)

La norma propone quattro architetture predefinite e per ognuna di esse prevede una formula semplificata per il calcolo del PFH.

Le quattro architetture si differenziano per la tolleranza ai guasti hardware (HFT) e per la presenza (o assenza) della diagnostica.

Le quattro architetture corrispondono alle configurazioni più diffuse utilizzate nel campo della sicurezza dei macchinari.

Una tolleranza ai guasti hardware di N significa che il sottosistema tollera fino a N guasti prima di perdere le sue prestazioni di sicurezza. N +1 guasti possono causare la perdita della funzione di sicurezza.

Quando si definisce la tolleranza ai guasti di un’architettura non viene dato credito a misure aggiuntive in grado di controllare gli effetti dei guasti, come la diagnostica.

Per l’architettura B e D i due canali devono essere sufficientemente indipendenti; ovvero sono progettati in modo tale che un singolo canale sia in grado di svolgere la funzione indipendentemente dall’altro. Lo stesso vale per l’architettura C per il canale funzionale rispetto al canale diagnostico.

Architettura del sottosistema A:
HFT = 0 – Singolo canale senza funzione diagnostica

Fig. 17 – Architettura di base del sottosistema A

Qualsiasi guasto pericoloso di un elemento del sottosistema provoca la perdita della funzione di sicurezza.

(1)   PFH = λDe1 + ….. + λDen

Dove:
λDei è il tasso di guasto pericoloso di un elemento del singolo canale.

Confronto con EN ISO 13849-1

Cat. B (PLmax = b) 

Cat. 1 (PLmax = c)

Architettura del sottosistema B
HFT = 1 – Doppio canale senza funzione diagnostica

Fig. 18 – Architettura di base del sottosistema B

Un singolo guasto di qualsiasi elemento del sottosistema non provoca la perdita della funzione di sicurezza

(2)   PFH = (1 – β )2 x λDe1 x λDe2 x T1 + β x ( λDe1 + λDe2) /2

Dove:
λDe1 è il tasso di guasto pericoloso di un elemento del primo canale funzionale
λDe2 è il tasso di guasto pericoloso di un elemento del secondo canale funzionale
T1 è la vita utile o l’intervallo del test di prova, qualunque sia il minore. In ogni caso non superiore a 20 anni
β è la suscettibilità ai guasti per causa comune

Nessuna corrispondenza con le categorie della EN ISO 13849-1

Architettura del sottosistema C:
HFT = 0 Canale singolo con funzione diagnostica

Fig. 19 – Architettura di base del sottosistema C

Qualsiasi guasto pericoloso non rilevato di un elemento del sottosistema del canale funzionale comporta la perdita della funzione di sicurezza. Quando la funzione diagnostica rileva un guasto pericoloso di un elemento del sottosistema del canale funzionale, la funzione diagnostica stessa avvia una reazione all’errore.

dove:

T1 è la vita utile o l’intervallo del test di prova, qualunque sia il minore. In ogni caso non superiore a 20 anni
λDei è il tasso di guasto pericoloso dell’elemento ei all’interno del singolo canale funzionale.
n è il numero di elementi del singolo canale funzionale.
λDFHj = λDFDj + λDFRj è il tasso di guasto degli elementi numero j all’interno del singolo canale che realizza la funzione di gestione dei guasti.

m è il numero di elementi del singolo canale che realizza le funzioni di gestione degli errori

DCi è la copertura diagnostica per l’elemento ei del singolo canale funzionale.

β è la suscettibilità ai guasti per causa comune del canale funzionale e del canale diagnostico

Se la funzione diagnostica viene eseguita da un sottosistema separato all’interno del SCS.

Fig. 20 – Sottosistema separato all’interno del SCS 

Quindi

λD FH j = 0

β < 2% a causa della separazione dei due sottosistemi. Quiindi le equazioni si semplificano a:

(6)  PFH = ( 1- DC1 ) x λDe1 + … + ( 1 – DCn ) x λDen

Il tasso di test delle funzioni diagnostiche deve essere almeno 100 volte superiore al tasso di richiesta della funzione di sicurezza e il tempo necessario per la reazione al guasto deve essere breve per portare il sistema in uno stato sicuro prima che si verifichi un evento pericoloso.

In alternativa, il test può essere eseguito periodicamente. In questo caso la somma dell’intervallo di test, più il tempo necessario per rilevare il guasto più il tempo necessario per portare il sistema in uno stato sicuro è inferiore al tempo di sicurezza del processo.

Il test può anche essere eseguito immediatamente alla richiesta della funzione di sicurezza. In questo caso il tempo necessario per rilevare un guasto e portare il sistema in uno stato sicuro deve essere inferiore al tempo di sicurezza del processo.

Confronto con EN ISO 13849-1

Cat. 2 (PLmax = d)

Architettura del sottosistema D
HFT = 1 Doppio canale con funzione diagnostica

Fig. 21 – Architettura del sottosistema D

Per gli elementi del sottosistema con le stesse caratteristiche:

(7)   PFH = (1-β ) 2 x [DC x T2 + (1-DC) x T1 ] x λDe2 + β x λDe

Per elementi di sottosistemi con caratteristiche differenti

(8) PFH = (1-β)2 x [λDe1 x λDe2 x (DC1 + DC2 ) x T2 /2 + λDe1 x λDe2 x (2-DC1-DC2 ) x T2 /2 +β x (λDe1 x λDe2) / 2

Dove:
T2 è l’intervallo del test diagnostico.
T1 è la vita utile o l’intervallo del test di prova, qualunque sia il minore. In ogni caso non superiore a 20 anni
β è la suscettibilità ai guasti per causa comune.
λDe1 è il tasso di guasto pericoloso dell’elemento 1 del sottosistema.
λDe2 è il tasso di guasto pericoloso dell’elemento 2 del sottosistema.
DC1 è la copertura diagnostica per l’elemento 1 del sottosistema.
DC2 è la copertura diagnostica per l’elemento 2 del sottosistema.

Un singolo guasto pericoloso di qualsiasi elemento del sottosistema non provoca la perdita della funzione di sicurezza. Se la funzione diagnostica rileva un guasto di un elemento del sottosistema, la funzione diagnostica stessa avvia una reazione all’errore.

La funzione diagnostica viene eseguita continuamente e la somma dell’intervallo del test diagnostico e del tempo necessario per eseguire la reazione al guasto specificata, al fine di portare il sistema in uno stato sicuro, deve essere inferiore al tempo di sicurezza del processo.

Confronto con EN ISO 13849-1

Cat. 3 (PLmax = d)
Cat. 4 (PL = e)

Fase due – Determinazione dei parametri λ, λd, λs, λdd, λdu

Considerazioni generali

Ai fini della determinazione dei tassi di guasto degli elementi del sottosistema, devono essere presi in considerazione i seguenti criteri di guasto:

  • Se, a causa di un guasto, altri componenti si rompono, il primo guasto insieme a tutti i guasti successivi sarà considerato come un guasto unico
  • Due o più guasti separati aventi una causa comune devono essere considerati come un unico guasto
  • Il verificarsi simultaneo di due o più guasti, aventi cause separate, è considerato altamente improbabile e pertanto non deve essere considerato
  • Alcuni guasti possono essere esclusi, a condizione che la probabilità che si verifichino sia molto bassa in relazione ai requisiti di integrità della sicurezza del sottosistema

Una base per la considerazione dei guasti è fornita nella ISO 13849-2 (allegati da A a D).

Per l’elenco dei componenti/elementi inclusi negli Allegati da A a D, sono forniti:

  • Le cause da considerare
  • Le esclusioni di guasti consentite, considerando gli aspetti ambientali e applicativi e le condizioni in cui è consentita l’esclusione di guasti

Componenti elettrici/elettronici

Determinazione di λ

In generale, per questa tipologia di componenti il costruttore non fornisce dati di affidabilità perché dipendono fortemente dall’utilizzo del componente e dalle caratteristiche dell’ambiente.

I dati di affidabilità possono essere trovati nella serie di standard SN 29500 o in MIL-HDBK 217F o OREDA 2015 o anche nel manuale di affidabilità EXIDA.
I tassi di guasto sono espressi in FIT (Failure in time)

1 FIT = 1 x 10-9 ore

I valori di FIT sono dati alle condizioni operative di riferimento (tensione, corrente, dissipazione ecc..) e alla temperatura ambiente di 40°C. Il valore indicato è λref in FIT.

Esempio: per un resistore a fil di metallo è λref = 0,2 FIT

Se le condizioni operative effettive sono diverse da quelle di riferimento, è necessario apportare correzioni utilizzando formule che sono previste nello stesso documento per ciascuna famiglia di componenti.

Determinazione di λd e λs

Dopo aver determinato λ per ciascun elemento del sottosistema (es. derivato da uno dei database citati), si dovrebbero considerare le diverse modalità di guasto dell’elemento del sottosistema. In genere si presume che non tutte le modalità di guasto portino a un guasto pericoloso. Per determinare i guasti da considerare per ciascun elemento e per decidere se si tratta di guasti sicuri o guasti pericolosi, dovrebbe essere eseguita una tecnica di analisi, come l’analisi della modalità di guasto e degli effetti (FMEA) o l’analisi dell’albero dei guasti (FTA)

Per effettuare questa analisi tecnica, sono necessarie le seguenti informazioni:

  • Gli schemi hardware del sottosistema che descrivono ogni componente e le interconnessioni tra i componenti
  • Per ogni componente le modalità di guasto e le relative percentuali della probabilità di guasto totale

Per aiutare il progettista, sono disponibili diverse fonti di settore riconosciute dove trovare un elenco di modalità di guasto insieme al rapporto modalità di guasto.

Esempio di modalità di guasto tipiche e rapporto di guasto (%) di alcuni componenti elettronici

The process should be as follows:

Categorize each failure mode according to whether it leads to

  • A safe failure (fault has no influence or the fault leads to a safe state without a diagnostic measure
  • A dangerous failure (leads without diagnostic to a dangerous malfunction)
  • Components that are not a part of a safety function or of a diagnostic measure, and that do not have any influence on the safety function are not considered.

Doing this analysis, do not consider the effects of diagnostic techniques implemented! The effects of diagnostics are considered separately; see the clause: computation of DC.

From the estimate of λ of each component and the categorization of the failures (safe, dangerous) calculate the probability of safe failure (λS) and the probability of dangerous failure (λD)

Esempio, solamente per descrivere come applicare il metodo:

Prendiamo per facilità di calcolo il caso di due componenti, un condensatore ceramico e un resistore a film metallico che fanno parte dei componenti di un canale funzionale.

Per il condensatore otteniamo da SN 29500 un tasso di guasto di 2 FIT (λ = 2 x 10-9). Dall’analisi del circuito emerge che un cortocircuito del condensatore o una deriva porta a un guasto pericoloso, mentre un circuito aperto porta a un guasto sicuro.

Per il resistore otteniamo da SN 29500 un tasso di guasto di 0,2 FIT (λ = 0,2 x 10-9). Dall’analisi del circuito emerge che un circuito aperto della resistenza o una deriva porta ad un guasto pericoloso, un corto circuito porta ad un guasto sicuro, ma questo tipo di guasto è escluso, per via della tecnologia. (vedi ISO 13849-2).

Per il condensatore:
λScap = 2 x 10-9 x 0,1 = 2 x 10-10
λDcap = 2 x10-9 x (0,7 + 0,2) = 1,8 x 10-9

Per la resistenza:
λDres = 0,2 x10-9 x (0,6 + 0,4) = 0,2 x 10-9

Ovviamente gli stessi calcoli devono essere effettuati per tutte le componenti del canale. Si ricavano quindi i valori complessivi di λS e λD per il canale sommando i valori di λS e λD del singolo componente.

The overall values of λS and λD for the channel are then derived by summing the values of λS and λD of the single components.

Limitatamente ai componenti del nostro esempio:

λSchannnel = 2 x 10-10
λDchannel = 1,8 x 10-9 + 0,2 x 10-9 = 2 x 10-9

Metodo alternativo:

Se non sono disponibili informazioni specifiche sulle modalità di guasto, il 50 % dei guasti può essere stimato come pericoloso, in questo caso λS e λD sono approssimati a:
Per il condensatore:

λScap = 2 x 10-9 x 0,5 = 1 x 10-9
λDcap = 2 x10-9 x (0,5) = 1 x 10-9

Per la resistenza:
La tecnologia utilizzata esclude il guasto di corto circuito; se non sono disponibili informazioni aggiuntive, tutti gli altri guasti sono da considerarsi pericolosi:
λDres = 0,2 x10-9

Determinazione di λd per componenti elettromeccanici

Per i componenti elettromeccanici, pneumatici e meccanici soggetti ad usura (es. relè ed elettrovalvole) la percentuale di guasti aumenta con il numero di cicli elaborati.

Per questo motivo, la loro affidabilità è solitamente correlata al numero di cicli eseguiti e non al tempo per il quale hanno lavorato.

Il parametro fornito dal costruttore è il B10 o il B10d espresso in numero di operazioni; questo è il numero di operazioni dopo le quali si verificano guasti nel 10% dei componenti verificati (test di resistenza sotto carico specificato).

Se non sono disponibili i dati del produttore, per un elenco di componenti idraulici, pneumatici ed elettromeccanici, è possibile utilizzare anche i valori B10d o MTTFd riportati nella Tabella C.1 della norma. L’uso di questi valori è consentito solo alle seguenti condizioni:

Per la progettazione del componente sono stati utilizzati principi di sicurezza basilari e ben collaudati secondo ISO 13849-2 (confermati nella scheda tecnica del componente).

Il produttore del componente specifica che il componente può essere utilizzato per applicazioni relative alla sicurezza.

Il progettista del sottosistema conferma che il componente viene utilizzato rispettando i principi di sicurezza di base e ben collaudati secondo ISO 13849-2.

I componenti idraulici elencati in Tabella C.1 sono caratterizzati con MTTFd. Per la conversione di MTTFd in un valore λd può essere utilizzata la seguente equazione di base:

(9)  λd= 1/ MTTFD x 8760 h/a

 

Nota: MTTFd è espresso in anni; un anno è circa 8760 ore.
Per la conversione di B10d in un valore λd si può utilizzare la seguente equazione:

  (10)   λd= (0.1 X C) / B10d

Dove:
C = nop / 8760 (numero medio di operazioni all’ora)

Il tempo di funzionamento del componente deve quindi essere limitato a T10d che è il tempo medio entro il quale il 10% dei componenti subisce un guasto pericoloso.

(11)    T10d = 0,1 / λd

Se è disponibile solo B10 (il numero di operazioni dopo le quali il 10% dei componenti in prova subisce un guasto), B10d può essere derivato conoscendo il rapporto dei guasti pericolosi (RDF)

(12)  B10d = B10 / RDF

Se non sono disponibili altre informazioni, l’RDF è stimato a 0,5 (50 % di guasto pericoloso).

Esempio

Per un relè a basso carico, il produttore specifica un B10 = 10 M cicli se utilizzato a basso carico (20% del carico nominale).

Il relè viene utilizzato su una macchina azionata come segue:

220 giorni/anno; 16 h/giorno (due turni); ciclo macchina: 1 min (60 cicli/h)

Dalle formule di cui sopra deriva:
Numero medio di operazioni annuali nop = 211200
Operazione media per ora C = 24,11 /h
Non vengono fornite informazioni riguardo a B10d, pertanto si assume B10d = 2 x B10

quindi: λd = 0,1* 24,11 / 20*106 = 1,2*10-7/h

Un’analisi più precisa può essere effettuata recuperando da un database di affidabilità l’elenco delle modalità di guasto e dei rapporti di modalità di guasto del relè e analizzando, per l’applicazione data, quali sono i guasti pericolosi:

Esempio:

Componenti Modalità di guasto Rapporti tipici della modalità di guasto %
Relè Tutti i contatti rimangono in posizione eccitata quando la bobina è diseccitata 25 D
Tutti i contatti rimangono in posizione diseccitata quando la bobina è eccitata 25 S
Il contatto non si aprirà 10 D
Il contatto non si chiude 10 S
Cortocircuito simultaneo tra tre contatti di un contatto in scambio 10 D
Chiusura simultanea del contatto normalmente aperto e normalmente chiuso 10 D
Cortocircuito tra due coppie di contatti e/o tra contatto e terminale della bobina 10 D

Rapporto guasti pericolosi (RDF) = 65%

Dall’equazione: B10d = 10M / 0,65 = 15,38M operazioni

Allora λd = λd = 0,1* 24,11 / 15,38*106 = 1,57*10-7/h

Fase 3 – Determinazione della Copertura Diagnostica (DC) e dei parametri λdd e λdu

Supponendo che

  • Un guasto può sempre accadere (altrimenti non ci sarebbe motivo di definire λ)
  • Non è possibile rilevare tutti i guasti perché i meccanismi per la rilevazione dei guasti non sono tutti ugualmente efficaci ed immediati (per alcuni guasti potrebbe richiedere più tempo)
  • Tuttavia, adottando misure diagnostiche appropriate, è possibile rilevare la maggior parte dei guasti pericolosi

È possibile definire un parametro DC che fornisce una stima dell’efficienza della misura diagnostica implementata.

La DC è definita come il rapporto tra il tasso dei guasti pericolosi rilevati (λdd) rispetto a tutti i guasti pericolosi rilevati e non rilevati (λd).

(13)  DC = λdd / λd

Chiamando λdu la frazione di guasti pericolosi che rimangono inosservati ne deriva che:

(14)   λd = λdd + λdu

e:

(15)    λdd = λd x DC
(16)    λdu = λd x (1- DC)

La norma IEC 62061 fornisce un elenco di diverse tecniche diagnostiche nell’allegato D e per ciascuna di esse viene assegnato un parametro DC che rappresenta la frazione di guasti pericolosi che possono essere rilevati dall’applicazione di tale tecnica diagnostica.

La gamma CC va da 0% a 99%
DC = 0% indica che non è stato rilevato alcun guasto pericoloso
DC = 99% rappresenta una frazione molto elevata di guasti pericolosi rilevati

Il progettista deve selezionare per ogni elemento del sottosistema, la tecnica diagnostica più adatta alla sua applicazione (per i segnali di ingresso, per la logica di elaborazione, per le uscite) e nel contempo garantire il livello di CC necessario.

Esempio: se la misura diagnostica attuata per il controllo dei guasti pericolosi del relè dell’esempio precedente è attuata monitorando il funzionamento del relè tramite un contatto NC collegato meccanicamente, dalla tabella D.1 segue DC = 99%:

Quindi:

λdd = 1,2 x 10-7 x 0,99 = 1,188 x 10-7
λdu = 1,2 x 10-7 x 0,01 = 1,2 x 10-9

La copertura diagnostica DC del sottosistema è:

Dove:
∑ λdd è la somma del tasso di guasti pericolosi rilevati di tutti gli elementi del sottosistema e
∑ λd è la somma del tasso di guasti pericolosi di tutti gli elementi del sottosistema

Realizzazione di funzioni diagnostiche

Le funzioni diagnostiche sono considerate come funzioni separate che possono avere anche una struttura diversa rispetto al SCS e possono essere svolte da:

  • Lo stesso sottosistema che richiede la diagnostica
  • Sottosistemi del SCS che non eseguono l’SCF
  • Altri sottosistemi del SCS

Esempio di funzione diagnostica di tipo c)
L’SCS è composto da due sottosistemi:

Il sottosistema 1 è una fotocelluna con MTBF = 10 anni (emettitore + ricevitore)
Il sottosistema 2 è un’unità di controllo di sicurezza AU SX classificata SIL 2 con un PFH = 5 x 10-9

Misura diagnostica selezionata: monitoraggio online con verifica del tempo di risposta della fotocellula

Dalla tabella D.1: stimolo di prova ciclico mediante variazione dinamica dei segnali di ingresso DC = 90%.

Sottosistema 1:
Ai fini del calcolo, MTBF può essere assunto pari a MTTF,
Il rapporto dei guasti pericolosi è quindi stimato pari a 0,5
MTTFd = 2 x MTTF
λd = 5,7 x 10-6
HFT = 0 (architettura C)
β ≤ 2%

Poiché la funzione diagnostica viene eseguita dal sottosistema separato 2 all’interno dell’SCS, è possibile applicare la formula (PFH = ( 1- DC1 ) x λDe1 + … + ( 1 – DCn ) x λDen) per la stima della PFH:
PFH (sottosistema 1) = (1-DC) x 5,7 x 10-6 = 5,7 x 10-7
Il PFH complessivo dell’SCS è:
PFH (SCS) = PFH (scs) = 5,7 x 10-7 + 5 x 10-9 = 5,75 x 10-7

Fase 4- Stima della frazione di guasto sicuro

Dopo aver derivato per ogni sottosistema il PFH è importante assicurarsi che il SIL associato sia compatibile con i limiti imposti dall’architettura. Il livello di integrità della sicurezza più alto che può essere rivendicato per il sottosistema è limitato dalle frazioni di guasto sicuro (SFF) come specificato nella tabella seguente:

Frazione di guasto sicuro (SFF) Tolleranza ai guasti hardware
0 1 2
SFF < 60% Non permesso SIL 1 SIL 2
60% ≤ SFF < 90% SIL 1 SIL 2 SIL 3
90% ≤ SFF < 99% SIL 2 SIL 3 SIL 3
SFF ≥ 99% SIL 3 SIL 3 SIL 3

La frazione di guasto sicuro del sottosistema (SFF) è, per definizione, la frazione del tasso di guasto complessivo che non si traduce in un guasto pericoloso.

È quindi il rapporto tra la somma dei guasti sicuri complessivi e guasti pericolosi rilevati dalle tecniche diagnostiche implementate e la somma di tutti i guasti possibili (sicuro, pericoloso rilevato e pericoloso non rilevato).

(18)   SFF = (Σλs + Σλdd) / Σλs + Σλd

Per il calcolo devono essere presi in considerazione tutti i componenti, compresi quelli elettrici, elettronici, elettromeccanici, meccanici ecc., necessari per consentire al sottosistema di elaborare la funzione di sicurezza.

Metodologia per la stima della suscettibilità ai guasti per causa comune

In caso di strutture ridondanti, la metodologia utilizzata per il calcolo del PFH presuppone una sufficiente indipendenza operativa dei due canali.

Tuttavia, se i canali non sono completamente indipendenti, i guasti di causa comune dovuti a un singolo evento o condizione possono causare un malfunzionamento critico contemporaneamente su entrambi i canali in un’architettura a doppio canale.

Esempi di guasti dovuti a cause comuni, tali guasti di causa comune sono:

  • Sovratensioni (una sovratensione abbastanza forte da causare più guasti catastrofici. un canale probabilmente distruggerà anche l’altro nello stesso tempo)
  • Impurità del fluido (le valvole di entrambi i canali non si aprono)
  • Sovratemperatura (a causa di un guasto delle ventole di raffreddamento).

Stima dell’effetto di CCF

La probabilità di guasto per causa comune introduce il problema di stimare i tassi di guasto simultaneo per più componenti oltre ai loro tassi di guasto individuali.

La IEC 62061 risolve questo problema utilizzando il metodo di punteggio proposto nell’allegato E.

La tabella E.1 del presente allegato riporta un elenco di misure ea ciascuna misura viene assegnato un valore associato che rappresenta il contributo di ciascuna misura alla riduzione dei guasti per causa comune.

Tutti i fattori che incidono sulla progettazione del sottosistema devono essere sommati per fornire un punteggio complessivo.

Per ogni misura elencata può essere rivendicato solo il punteggio pieno o nulla.
Se una misura è soddisfatta solo in parte, il punteggio secondo questa misura è zero.

Laddove si possa dimostrare che mezzi equivalenti per evitare CCF possono essere raggiunti attraverso l’uso di misure di progettazione specifiche (ad esempio l’uso di dispositivi optoisolati anziché cavi schermati), allora il punteggio pertinente può essere rivendicato in quanto ciò può essere considerato fornire lo stesso contributo per evitare CCF.

Se è possibile ottenere mezzi equivalenti per evitare il CCF attraverso l’uso di misure di progettazione specifiche (ad esempio l’uso di dispositivi opto-isolati anziché cavi schermati), è possibile rivendicare il punteggio pertinente.

Il punteggio complessivo viene utilizzato per determinare il fattore di guasto per causa comune β dalla tabella F.2 come valore percentuale.

Punteggio complessivo

Fattore (β) per i guasti di causa comune

≤ 35

10% (0,1)

36 to 65

5% (0,05)

66 to 85

2% (0,02)

86 t0 100

1% (0,01)

Questo fattore β sarà utilizzato nelle formule 2, 4, 7, 8 per il calcolo del PFH di un sottosistema.